A KPMG az elmúlt években több tucat nagyvállalat, köztük bankok és telekomcégek megbízásából ellenőrizte e vállalatok biztonsági rendszereit social engineering módszerrel. Ebben a viszonylag új – vagy csak újonnan elnevezett – módszerben „sima” bűnözői trükköket kombinálnak fejlett technológiával a csalók. A tapasztalatok nagyon rosszak votlak – összegzi a tanácsadócég kutatásait a VG cikke.
„Eddigi munkáink során nem találtunk olyan céget, ahová ne tudtunk volna személyesen bejutni anélkül, hogy azonosítottuk volna magunkat” – mondta Sallai György, a vizsgálat vezetője. A belépőkártyát minden esetben sikerült elhozni is a cégektől, és soha nem fordult elő, hogy egy héttel később ugyanazzal a kártyával ne lehetett volna bejutni az épületbe. A szemetesekben és másutt bizalmas iratokat találtak, bár az ezekhez való hozzájutáshoz az esetek négyötödében be sem kellett személyesen jutni a céghez.
Az ipari kémeknek az esetek 90 százalékában sikerült működő mobileszközt elhelyezniük az épületben, és ezek felén keresztül később sikerült is rácsatlakozni a belső hálózatra. Mobilszámokat szinte mindig sikerült némi telefonálgatás útján megszereznünk, de az esetek 40 százalékában az is elérték, hogy valaki bizalmas dokumentumot küldjön külső e-mail címre. A legbrutálisabb, hogy a hívások egyötödében sikerült megszerezniük valakinek a hálózati jelszavát.
A vállalati biztonság egyik legjobb fokmérője azonban mégsem ez, hanem az, hogy egy kívülről bejuttatott adathordozót (CD-t, pendrive-ot) hányan csatlakoztatnak a benti hálózaton. A KPMG tapasztalata szerint a tárgyalókban, itt-ott „véletlenül” elhagyott adathordozókat 50 százalékban csatlakoztatják a rendszerhez a megtalálók, a postán, személyre szabottan beküldötteknél pedig a csatlakozási arány 80 százalékos. „Márpedig ezeken a kütyükön bármilyen kémszoftver lehetne, sőt van is, hiszen innen tudjuk, hogy melyiket hányszor alkalmazták” – idézi Sallai Györgyöt a cikk.
